Anar al contingut principal
Representació de la Comissió Europea a Barcelona
  • Comunicat de premsa
  • 15 setembre 2022
  • Representation in Spain – Barcelona
  • Lectura de 8 min

Estat de la Unió: noves normes de la UE en matèria de ciberseguretat per reforçar la seguretat del maquinari i el programari informàtics

Avui la Comissió ha presentat una proposta d’una nova Llei de Ciberresiliència per protegir els consumidors i les empreses davant de productes amb característiques de seguretat inadequades. És la primera norma a escala de la UE d’aquesta mena i introdueix requisits obligatoris de ciberseguretat al llarg de tot el cicle de vida dels productes que contenen elements digitals.

La llei —que la presidenta Von der Leyen va anunciar el setembre del 2021 en el seu discurs sobre l’estat de la Unió i que parteix de l’Estratègia de Ciberseguretat de la UE i de l’Estratègia de la UE per una Unió de la Seguretat de 2020— garantirà que els productes digitals, com ara els equips amb o sense fil i el programari, siguin més segurs per als consumidors d’arreu de la UE: a més d’ampliar la responsabilitat dels fabricants amb l’obligació que proporcionin suport en matèria de seguretat i actualitzacions de programari per resoldre les vulnerabilitats que s’hagin detectat, permetrà que els consumidors tinguin prou informació sobre la ciberseguretat dels productes que comprin i facin servir.

Magrethe Vestager, vicepresidenta executiva per a Una Europa Preparada per a l’Era Digital, ha declarat: «Ens hem de poder sentir segurs amb els productes que comprem en el mercat únic. De la mateixa manera que podem confiar en una joguina o una nevera amb la marca CE, la Llei de Ciberresiliència garantirà que els objectes connectats i el programari que comprem compleixin uns controls de ciberseguretat estrictes. Situarà la responsabilitat on correspon, en aquells que comercialitzen els productes.»

Margaritis Schinas, vicepresident per a la Promoció de l’Estil de Vida Europeu, ha declarat: «La Llei de Ciberresiliència és la nostra resposta davant de les amenaces actuals a la seguretat que en la nostra societat digital són omnipresents. La UE ha estat pionera amb la creació d’un ecosistema de ciberseguretat mitjançant regles d’infraestructura crítica, preparació i resposta en matèria de ciberseguretat i la certificació dels productes de ciberseguretat. Avui completem aquest ecosistema amb una llei que du la seguretat a totes les llars, totes les empreses i tots els productes que estan interconnectats. La ciberseguretat és una qüestió que afecta la societat, ja no és un tema per a la indústria.»

Thierry Breton, comissari del Mercat Interior, ha declarat: «Quan es tracta de ciberseguretat, Europa només és tan forta com la seva baula més feble: ja sigui un estat membre vulnerable o un producte insegur en un punt de la cadena de subministrament. Els ordinadors, els telèfons, els electrodomèstics, els dispositius d’assistència virtual, els cotxes, les joguines... tots i cadascun d’aquest centenars de milions de productes connectats són un punt d’entrada potencial per a un ciberatac. Tot i això, la majoria dels productes de maquinari i programari no estan sotmesos a cap obligació en matèria de ciberseguretat. Amb la introducció de la ciberseguretat des del disseny, la Llei de Ciberresiliència ajudarà a protegir l’economia d’Europa i la nostra seguretat col·lectiva.»

Si tenim en compte que al món hi ha un atac contra una organització amb programari de segrest cada onze segons i que el 2021 el cost mundial estimat va ser de 5,5 bilions d’euros (Informe del Centre Comú de Recerca de 2020 «Ciberseguretat: el nostre pilar digital, una perspectiva europea»), és més important que mai que garantim un nivell elevat de ciberseguretat i reduïm les vulnerabilitats dels productes digitals, que són una de les principals vies d’entrada dels atacs reeixits. Amb el creixement dels productes intel·ligents i connectats, un incident de ciberseguretat en un producte pot afectar tota la cadena de subministrament i podria comportar una pertorbació greu de les activitats econòmiques i socials arreu del mercat interior, cosa que soscavaria la seguretat o podria arribar a posar vides en perill.

Les mesures que es proposen avui es basen en el nou marc legislatiu de la legislació sobre productes i estableixen:

a) normes sobre la comercialització de productes amb elements digitals per garantir-ne la ciberseguretat;

b) requisits bàsics per al disseny, desenvolupament i producció de productes amb elements digitals, i obligacions per als operadors econòmics en relació amb aquests productes;

c) requisits bàsics per als processos de tractament de les vulnerabilitats per part dels fabricants destinats a garantir la ciberseguretat dels productes amb elements digitals al llarg de tot el seu cicle de vida, i obligacions per als operadors econòmics en relació amb aquests processos. Els fabricants també hauran d’informar de les vulnerabilitats que hagin estat explotades activament i dels incidents;

d) normes relatives a la vigilància del mercat i l’observança de la legislació.

Les noves normes faran tornar la càrrega de la responsabilitat cap als fabricants, que han de garantir la conformitat amb els requisits de seguretat dels productes comercialitzats en el mercat de la UE que contenen elements digitals. Això suposarà un benefici per als consumidors i per als ciutadans, així com per a les empreses que fan servir productes digitals, ja que reforçarà la transparència de les propietats de seguretat i fomentarà la confiança en els productes que contenen elements digitals, a més de garantir una protecció més forta dels seus drets fonamentals, com ara la privadesa i la protecció de les dades.

Ara que altres ordenaments d’arreu del món s’interessen per aquesta problemàtica, és probable que la Llei de Ciberresiliència esdevingui un referent internacional, més enllà del mercat interior de la UE. Les normes de la UE derivades de la Llei de Ciberresiliència en facilitaran la implementació i seran un actiu per al sector de la ciberseguretat de la UE en els mercats mundials.

El reglament que proposem serà aplicable a tots els productes que estan connectats directament o indirectament a un altre dispositiu o una xarxa. S’han previst algunes excepcions per a productes que ja disposen de requisits de ciberseguretat en virtut de la normativa vigent de la UE, com ara els dispositius mèdics, l’aviació o els automòbils.



Properes etapes

Ara correspon al Parlament Europeu i al Consell estudiar el projecte de Llei de Ciberresiliència. Un cop s’hagi adoptat, els operadors econòmics i els estats membres disposaran de dos anys per adaptar-se als nous requisits. No obstant, s’exceptua d’aquest termini l’obligació per als fabricants d’informar sobre les vulnerabilitats que hagin estat explotades activament i els incidents; aquest aspecte serà aplicable al cap d’un any de l’entrada en vigor, ja que necessita menys adaptacions per part de les organitzacions que no pas la resta de noves obligacions. La Comissió revisarà periòdicament la Llei de Ciberresiliència i publicarà informes sobre el seu funcionament.



Rerefons

La ciberseguretat és una de les grans prioritats de la Comissió, a més de constituir un dels puntals de l’Europa digital i connectada. L’augment dels ciberactacs durant la crisi del coronavirus ha palesat la importància de protegir hospitals, centres de recerca i altres infraestructures. Cal una acció ferma en aquest àmbit perquè l’economia i la societat de la UE estiguin preparades per al futur. S'estima que el cost anual de les violacions de les dades és d’almenys 10 000 milions d’euros i el cost anual dels intents maliciosos de pertorbar el trànsit a internet és d’almenys 65 000 milions d’euros (Informe d'avaluació de l’impacte que acompanya el Reglament Delegat de la Comissió que complementa la Directiva sobre equips radioelèctrics).

L’Estratègia de Ciberseguretat, presentada el desembre del 2020, ha proposat d’integrar la ciberseguretat en tots els elements de la cadena de subministrament i d’acostar més les activitats i els recursos de la UE en les quatre comunitats de la ciberseguretat: el mercat interior, l’aplicació de la llei, la diplomàcia i la defensa. Continua el camí marcat en l’Estratègia Digital Europea i l’Estratègia de la UE per una Unió de la Seguretat i es basa en diversos actes legislatius, accions i iniciatives que la UE ha implementat per reforçar les capacitats en matèria de ciberseguretat i construir una Europa més ciberresilient.

La nova Llei de Ciberresiliència complementarà el marc de ciberseguretat de la UE: la Directiva sobre la seguretat de les xarxes i els sistemes d’informació (Directiva XSI), la Directiva relativa a les mesures destinades a garantir un elevat nivell comú de ciberseguretat arreu de la Unió (Directiva XSI 2), aprovada fa poc pel Parlament Europeu i el Consell, i el Reglament de Ciberseguretat de la UE.



Més informació

Preguntes i respostes: Llei de Ciberresiliència de la UE

Fitxa informativa sobre la Llei de Ciberresiliència de la UE

Proposta d’una Llei de Ciberresiliència

Fitxa informativa sobre la nova Estratègia de Ciberseguretat de la UE  

Fitxa informativa sobre la Proposta de Directiva relativa a les mesures destinades a garantir un elevat nivell comú de ciberseguretat arreu de la Unió (Directiva XSI 2)

Fitxa informativa sobre Ciberseguretat: acció exterior de la UE

Preguntes i respostes  sobre la nova Estratègia de Ciberseguretat de la UE i les noves normes per fer més resilients les entitats crítiques físiques i digitals

Proposta de Directiva relativa a les mesures destinades a garantir un elevat nivell comú de ciberseguretat arreu de la Unió (Directiva XSI 2)

Proposta de Directiva sobre la resiliència de les entitats crítiques

 

Detalls

Data de publicació
15 setembre 2022
Autor
Representation in Spain – Barcelona